Назад | Перейти на главную страницу

Действия по публикации уязвимостей

Чтобы защитить виновных, я буду избегать имен ...

Я знаю сайт, который вчера отключился. Вроде, как бы, что-то вроде. Около 5 часов все запросы к этому сайту asp.net производили YSOD. Высказывались подробности, включая тег олицетворения, показывающий, что сайт работает под учетной записью администратора и содержит пароль. Этот конкретный сайт принимает личные данные и информацию о кредитных картах для более чем 10 тысяч человек в год.

Здесь много очевидных проблем, самая большая из которых - учетные данные были открыты в течение 5 часов. Во-вторых, они запустили этот веб-сайт с учетными данными администратора неизвестно сколько времени. В-третьих, они выкладывают экраны YSOD для публики в случае ошибки.

Если бы вам было поручено работать с этим клиентом, чтобы помочь решить эту проблему, снизить риск и определить масштаб потенциального взлома, что бы вы предложили сделать? Я подумываю сказать им, что им нужно ...

Хозяин заявил, что они не хранят номера кредитных карт, но я утверждаю, что если было сделано столько основных ошибок, вы не можете действительно доверять тому, что они говорят. Они могут подумать, что не хранят номера карт, но это не значит, что они не делают это случайно.

Вам поручено «работать с этим клиентом» ... но вы не говорите, для чего. Исправить их приложение? Установить новые компьютеры? Подмести полы?

Если перед вами стоит задача решить эту конкретную проблему, которую вы указали, в первую очередь необходимо немедленно отключить сервер и перестроить с нуля на другом сервере. Этому серверу больше нельзя доверять. И вы можете криминалистически определить, было ли оно взломано или нет, оставив все на старом сервере нетронутым, но отключенным.

На самом деле они могут быть обязаны по закону уведомлять пользователей о том, что они пострадали от нарушения, если нарушение действительно произошло. Если вам не хватает ресурсов, чтобы самостоятельно определить, произошло ли нарушение, наймите внешнего консультанта, чтобы определить это.

По крайней мере, похоже, что у них есть некоторые неправильные настройки в их web.config. Он должен выдавать эти подробные сообщения об ошибках только локально, а не удаленно. У них также может быть debug = "true" ON, что НЕ ПРАВИЛЬНО в производственной среде. Их приложению тоже нельзя доверять.

Что, черт возьми, такое YSOD?

Позвольте мне предварить свой ответ, сказав, что это основано на моей интерпретации того, что нарушение произошло и что преступление, вероятно, было совершено. С учетом сказанного ...

Все вышеперечисленное уместно, однако вам следует переместить пункт «внешняя охранная компания» в пункт «после действий» и заменить его на «связаться с правоохранительными органами (ФБР?), Чтобы начать расследование». Я не юрист, но это кажется разумным, если не обязательным, учитывая, что они занимаются коммерцией.

Заявление о том, что они обрабатывают, но не хранят номера кредитных карт, неуместны. Если они что-то обрабатывают, это помещается в память. (Неважно, что это может быть записано в файл подкачки ...) Все, что находится в памяти, может быть получено, особенно в скомпрометированной системе. Особенно, если вы не доверяете качеству их кода.

Вероятно, будет колоссальный отпор, но мне кажется, что это было бы правильным поступком.

Учитывая, что используются учетные данные пользователя, запрос рекомендуемого сброса пароля также может быть разумным.

-Вальдо